Más de un millón de dominios corren el riesgo de ser tomados por actores maliciosos que utilizan los llamados patos sentados ataque.
Según un análisis conjunto publicado por Infoblox Y Eclipse encontró.
“En un ataque de patos sentados, el actor secuestra un dominio actualmente registrado con un servicio DNS autorizado o un proveedor de alojamiento web sin acceder tampoco a la cuenta del propietario real. Proveedor de DNS o registrador”, dijeron los investigadores.
“Los ataques de patos sentados son más fáciles de ejecutar, tienen más probabilidades de tener éxito y son más difíciles de detectar que otros vectores de ataque de secuestro de dominio conocidos, como los CNAME suspendidos. »
Una vez que un mal actor se ha apoderado de un dominio, este puede usarse para todo tipo de actividades nefastas, incluida la propagación de malware y spam, todo ello abusando de la confianza asociada con el propietario legítimo.
Los detalles de la técnica de ataque “perniciosa” han sido En primer lugar documentado El hacker fue descubierto por The Hacker Blog en 2016, pero el problema sigue siendo en gran medida desconocido y sin resolver hasta el día de hoy. Se estima que desde 2018 se han pirateado más de 35.000 dominios.
“Es un misterio para nosotros”, dijo a The Hacker News la Dra. Renee Burton, vicepresidenta de inteligencia de amenazas de Infoblox. “Con frecuencia recibimos preguntas de clientes potenciales, por ejemplo, sobre ataques CNAME que también son un secuestro de archivos olvidados, pero nunca hemos recibido una pregunta sobre un secuestro de Sitting Ducks. »
El problema es la configuración incorrecta del registrador de dominio y del proveedor de DNS autorizado, junto con el hecho de que el servidor de nombres no puede responder con autoridad para un dominio que se supone que debe servir (es decir, delegación coja).
Esto también requiere que el proveedor de DNS autorizado sea explotable, lo que permite al atacante reclamar la propiedad del dominio del proveedor de DNS autorizado delegado sin tener acceso a la cuenta válida del propietario con el registrador de dominios.
En tal escenario, si el servicio DNS autorizado para el dominio expira, el actor malicioso podría crear una cuenta con el proveedor y reclamar la propiedad del dominio, haciéndose así pasar por la marca detrás del dominio para distribuir malware.
“Hay muchas variaciones [of Sitting Ducks]incluso cuando un dominio ha sido registrado, delegado, pero no configurado en el proveedor”, dijo Burton.
El ataque de Sitting Ducks fue utilizado como arma por diferentes actores de amenazas, y los dominios robados se utilizaron para alimentar múltiples sistemas de distribución de tráfico (TDS), como 404 TDS (también conocido como Vacant Viper) y VexTrio Viper. También se ha utilizado para propagar Engaños de amenazas de bomba y estafas de sextorsión.
“Las organizaciones deben verificar los dominios que poseen para ver si alguno es deficiente y deben utilizar proveedores de DNS que ofrezcan protección contra patos sentados”, dijo Burton.